Небольшой обзор событий в ИБ-сфере, которые я посчитала стОящими упоминания.
1. У Intel произошла утечка конфиденциальных данных, объемом, как минимум, 20Гб (включая исходные коды прошивок и внутреннюю техническую документацию). Ссылки на документы опубликовал тот же человек, который ранее
вытащил в opensource исходники прошивок для грузовиков Даймлера.
В самом Интеле данный инцидент утечкой не считают: представители компании сказали, что кто-то, имеющий доступ ко внутреннему порталу разработчиков, "просто" осуществил несанкционированное копирование материалов. Лично меня позабавил и тот факт, что среди выложенных файлов есть много архивов с паролями типа "intel123".
Аккаунт исследователя в Твиттере вчера забанили, но все ссылки на файлы доступны в Телеграм-канале для тех, кто умеет пользоваться поисковиком. Вот Даймлер до прямого (и бессмысленного) бана не опускался...
Факт утечки внутренней технической информации может стать причиной раскрытия новых уязвимостей аппаратного уровня, наподобие Spectre/Meltdown, от которых до сих пор не придумали эффективной защиты (особенно когда речь идет о cloud-hosting и SaaS/PaaS).
Ext link
https://www.zdnet.com/article/intel-investigating-breach-after-20gb-of-internal-documents-leak-online/ 2. Ransomware-атака на Canon. Злоумышленниками незаконно скопировано и зашифровано 10 ТЕРАБАЙТ данных. К счастью, в отличие от американских коллег из garmin, японцы честно делали бекапы, и потому смогли восстановиться, не уплачивая выкупа. Как будут использованы украденные данные - неизвестно.
Ext link
https://www.bleepingcomputer.com/news/security/canon-confirms-ransomware-attack-in-internal-memo/ 3. AWS сообщила об исправлении важной уязвимости в логике client-side encryption для S3-ресурсов.
Ранее, насколько я поняла, при осуществлении CSE, в метадате сохранялись некоторые данные об исходных (незашифрованных) файлах, позволяющие злоумышленнику в ряде случаев восстановить исходные данные, не имея ключа шифрования. Так что если у вас были какие-то шифрованные данные в ведре, то имеет смысл удалить всю метадату и перешифровать данные.
Ext link
https://aws.amazon.com/blogs/developer/updates-to-the-amazon-s3-encryption-client/ 4. Транснациональная корпорация Blackstone приобрела сервис (и все данные) Ancestry.com, позволяющий искать родственников и выявлять склонность к наследственным заболеваниям на основе ДНК-тестов. Казалось, бы, это очередная условно-"сомнительная" сделка, типа приобретения Гуглом сервиса fitbit (раньше поисковый гигант знал, что ты делаешь в интернете и в какое кафе ходишь, теперь он еще будет знать, пьешь ли ты там кофе или чай, на основе того, как изменяется твой пульс - так ли уж это страшно?).
Но не все так просто: в отличие от большинства технологических гигантов, Блэкстоун принадлежит к тому типу корпораций, наблюдая за деятельностью которых, хочется податься в марксисты. В частности, они уже засветились и на продаже данных пользователей принадлежащей им сети отелей властям, не имея ордера, и на поджогах лесов в Бразилии, и на спекуляциях съемным жильем, выселив за несколько месяцев более 300 000 съемщиков в десятках стран мира. Учитывая, что в собственности Blackstone находятся и страховые компании, что мешает им повысить ставки для тех людей, у кого ancestry.com выявил склонность к тем или иным заболеваниям? Короче, если кто-то сдавал ДНК через Энсистри, рекомендую загрузить себе копию, а с сервера данные удалить.
Ext link
https://www.reuters.com/article/us-ancestry-m-a-blackstone-group-idUSKCN2512ES 5. Маленькая деталь про недавний взлом Твиттера, осуществленный 17-летним подростком путем банальной социальной инженерии. У Twitter не было CISO c 12.2019. А я еще жалуюсь, что моя фирма экономит на ИТ-безопасности :)
Но какой же цирк был, когда на судебном заседании, проводящемся через Zoom, стали крутить порнуху. Мне кажется, что лицо судьи разойдется на мемы. Уже сколько обсуждали, что нельзя открывать конфколлы для всех желающих, и тут - такой ЖЫР.
Ext link
https://www.itpro.co.uk/software/video-conferencing/356680/teenage-twitter-hackers-virtual-trial-is-zoom-bombed 6. Утечка данных у Couсhsurfing (17 млн аккаунтов: адреса эл почты, ФИО и настройки). Интересно, что компания заявляет, что на сайте зарегистрировано только 12 млн пользователей, так как данные неактивных учеток периодически удаляются. Видимо, удаляются, но не до конца. Что наводит на мысль о том, что утечка произошла из бэкапа, который оставили без должной ААА в облаке. А ведь, согласно GDPR, они обязаны удалять данные и из резервных копий, по истечении grace-периода.
Ext link
https://www.cybersecurity-insiders.com/cyber-attack-on-couchsurfing-leaks-data-related-to-17-million-users/ 7. Про автомобили. Как-то раз простой обыватель купил себе автомобиль Mazda, в котором была встроенная навигация от TomTom. Для обновления карт необходимо было активировать девайс, а в процессе активации создалась учетка на сайте tomtom с привязкой к кредитной карте (возможно, это было для владельца неочевидно). Через несколько лет владелец решил продать автомобиль. Согласно инструкции, он сделал на бортовом компьютере factory reset для удаления персональных данных перед передачей авто в салон, но это, как выяснилось, не привело к удалению учетки на tomtom, и ему продолжали приходить счета за обновление карт на навигаторе, намертво встроенном в автомобиль. Отсюда вывод: нужно всегда иметь под рукой список своих учетных записей (особенно с платными подписками) и периодически проводить там ревизию. И стараться представлять себе, как и кому передаются персональные данные и, тем более, платежные реквизиты.
Ext link
https://www.theregister.com/2020/07/10/mazda_tomtom_data_retention_billing/ 8. И еще про автомобили. Водитель Теслы был лишен прав на месяц за то, что попал в аварию на автобане, погрузившись в меню (!) настроек (!!!) режима работы дворников. Таким образом, бортовой компьютер приравняли к смартфону, использование которого без handsfree также чревато штрафами. Сама я Теслу ни разу не водила, поэтому не знаю, можно ли там быстро переключить дворники, воспользовавшись рычагами на руле. По ссылке пишут, что нет: "In Model 3 and Model Y vehicles, Tesla didn't install normal windshield wiper settings through a steering wheel stalk".
Ext link
https://www.fudzilla.com/news/automotive/51295-tesla-s-wiper-controls-banned-in-germany 9. Ну и последнее, про кражу данных. Житель Германии отдыхал на нудистском пляже с ноутбуком, когда на него напала семья кабанов, отняла сумку и попыталась убежать с ценными данными. К счастью, мужчина оказался готов к такому повороту событий и смог достойно отразить хакерскую атаку (в отличие от высокооплачиваемых специалистов Garmin и Canon).
Что характерно, никакой помощи от других отдыхающих, кроме съемки на мобильники, владелец ноутбука не получил. Более того, позже эти снимки разместила у себя на страничке немецкая лайф-коуч (!), сопроводив текстом из серии: "Этот мужчина готов бороться за свои ценности, даже будучи голым. What's your excuse? Если ты все еще ищешь свое место в жизни - подписывайся на мой инстаграм". Ну а дальше фото попали в желтую прессу, в том числе и русскоязычную. Хорошо, если это создаст information-security awareness среди населения (не оставляй ноут без присмотра, защищай доступ паролем, используй полнодисковое шифрование).
Ext link
https://lenta.ru/news/2020/08/07/ne_nado_kaban/